Configurando Microsoft Entra ID para el cumplimiento de HIPAA
Los servicios de Microsoft como Microsoft Entra ID pueden ayudarle a cumplir los requisitos relacionados con la identidad para la Ley de portabilidad y responsabilidad de seguros de salud de 1996 (HIPAA).
La regla de seguridad HIPAA (HSR, por sus siglas en inglés) establece estándares para proteger la información electrónica de salud personal de los individuos que se crea, recibe, utiliza o mantiene una entidad cubierta. El HSR es administrado por el Departamento de Salud y Servicios Humanos (HHS) de los Estados Unidos y requiere garantías administrativas, físicas y técnicas adecuadas para garantizar la confidencialidad, integridad y seguridad de la información sanitaria protegida electrónicamente.
Los requisitos y objetivos de salvaguardias técnicas se definen en el título 45 del Código de Reglamentos Federales (CFR). La parte 160 del título 45 proporciona los requisitos administrativos generales y las subpartes A y C de la parte 164 describen los requisitos de seguridad y privacidad.
La subparte § 164.304 define las medidas de seguridad técnicas como la tecnología y las políticas y procedimientos para su uso que protegen la información sanitaria protegida electrónicamente y controlan el acceso a ella. El HHS también describe las áreas clave que las organizaciones sanitarias deben tener en cuenta al implementar medidas de seguridad técnicas HIPAA. De § 164.312 Medidas de seguridad técnicas:
Controles de acceso: implemente directivas técnicas y procedimientos para sistemas electrónicos de información que mantienen información sanitaria protegida electrónicamente para permitir el acceso únicamente a las personas o programas de software a los que se les hayan concedido derechos de acceso, tal y como se especifica en § 164.308(a)(4).
Controles de auditoría: implemente mecanismos de hardware, software o procedimientos que registren y examinen la actividad en sistemas de información que contienen o usan información sanitaria protegida electrónicamente.
Controles de integridad: implemente directivas y procedimientos para proteger la información sanitaria protegida electrónicamente frente a alteraciones o destrucción incorrectas.
Autenticación de persona o entidad: implemente procedimientos para comprobar que una persona o entidad que busca acceso a la información sanitaria protegida electrónicamente es la que dice ser.
Seguridad de transmisión: implemente medidas de seguridad técnicas para protegerse contra el acceso no autorizado a la información sanitaria protegida electrónica que se transmite a través de una red de comunicaciones electrónicas.
El HSR define las subpartes como estándar, junto con las especificaciones de implementación necesarias y direccionables. Todo debe implementarse. La designación "direccionable" indica que una especificación es razonable y adecuada. Direccionable no significa que una especificación de implementación sea opcional. Por lo tanto, también se requieren subpartes que se definen como direccionables.
Los artículos restantes de esta serie proporcionan instrucciones y vínculos a recursos, organizados por áreas clave y salvaguardias técnicas. Para cada área clave, hay una tabla con las medidas de seguridad pertinentes enumeradas y vínculos a la guía de Microsoft Entra ID para realizar la protección.
Saber más
Texto combinado del reglamento de todas las regulaciones de simplificación administrativa HIPAA encontradas en 45 CFR 160, 162 y 164
Código de Reglamentos Federales (CFR) Título 45 que describe la parte de bienestar público del reglamento
Parte 160 que describe los requisitos administrativos generales del título 45
Parte 164 Subpartes A y C que describen los requisitos de seguridad y privacidad del título 45